簡析6種典型的CISO安全管理風格
責編:gltian |2024-03-06 17:26:24數字時代的一個顯著特征就是充滿了波動性、不確定性、復雜性和模糊性(VUCA)。因此,對企業的首席信息安全官(CISO)而言,需要采取適應性和前瞻性的方法來應對數字化環境發展挑戰,其所采用的網絡安全管理風格也需要更加靈活、主動和協作,并與組織的數字化發展目標和文化保持一致。
研究人員發現,目前的CISO可以采用多種風格來開展其日常性網絡安全管理工作,這主要取決于不同CISO的個性、偏好和領導方法,以及所在企業的文化、背景和安全防護需求等。其中,應用最廣泛、最典型的網絡安全管理風格包括以下6種:
??權威式管理
??合作式管理
??服務式管理
??戰略式管理
??自由式管理
??目標式管理
需要說明的是,這些網絡安全管理風格并不相互排斥,其有效性也是因人而異的,CISO在日常工作中,可以根據實際情況動態采用多種風格的組合。
1、權威式管理
權威式管理風格也叫指令式管理,需要CISO獨立、果斷地做出安全決策,并要求相關的團隊成員都嚴格遵守指令。在很多強監管的金融機構中,CISO會經常采用權威式管理風格,從而確保組織能夠遵守安全法規。
采用權威式管理的CISO,需要制定并實施嚴格的安全制度和流程。在此過程中幾乎不需要其他部門的參與,而是會根據CISO的專業知識制定關鍵的安全決策,并密切監控法規的遵從性。
這種管理風格涉及自上而下的方法,重點關注層級結構和控制。不足之處在于,采用這種管理風格可能會限制員工的投入和創造力,在某些情況下降低團隊士氣和參與度,增加員工的抵抗和不服從行為,同時可能會妨礙對不斷變化的威脅的適應能力。此外,還存在過度依賴CISO專業知識的風險,妨礙有效的網絡安全決策和企業韌性。
2、合作式管理
合作式管理風格強調安全團隊的合作、開放式溝通和員工參與感。在很多非常重視創新的科技型公司中,CISO都會采用協作式的管理方式,這樣有利于培養創造力和團隊合作的文化。
在合作式管理風格下,CISO需要不斷鼓勵安全團隊為制定安全策略和政策做出貢獻,定期召開團隊會議收集想法和建議,并在團隊所有成員中建立主人翁意識。CISO還需要促進IT、安全和其他部門之間的跨職能協作,鼓勵反饋、集思廣益和協作解決問題,共同應對網絡安全挑戰。
合作式管理風格倡導讓更多人參與決策過程,重視員工的意見和反饋,但可能會在一些關鍵安全問題決策時難以快速達成共識,?因此,可能會導致潛在的決策延遲,并增加在緊急事件情況下延誤風險處置的風險。
3、服務式管理
服務式管理風格專注于滿足團隊成員的發展需求,提升專業能力和個人發展。在一些社會化的政府部門和促進學習文化的教育機構中,CISO往往會優先考慮安全團隊的福祉和發展,積極傾聽團隊成員提出的訴求和建議,并廣泛提供工作支持和培訓學習機會,其管理的首要目標是增強員工的能力,并幫助團隊取得成功。
服務式風格優先考慮安全團隊的福祉和專業發展,但會存在將個人需求置于企業目標之上的潛在風險,可能導致難以強制執行嚴格的安全措施并確保法規遵從性。特別是在需要果斷決策的情況下,過分強調共識和團隊福祉可能會阻礙快速應對安全威脅并采取果斷行動。
4、戰略式管理
戰略式管理風格是指CISO重點關注長期規劃、設定目標,并保持安全計劃與企業目標的一致性。在一些組織機構復雜的大型跨國企業中,CISO可能會采用戰略式管理風格,以確保不同的業務部門都采用一致的安全管理措施和方法。當CISO采取戰略式管理方式時,有利于將企業的安全投資與業務優先事項保持一致,并制定全面的安全發展路線圖。這種管理風格會優先考慮風險管理、治理以及安全性與戰略目標的一致性。不過,當CISO重點強調與戰略目標保持一致時,可能會導致企業在調整安全措施以適應快速變化的網絡安全環境方面面臨挑戰,從而可能影響企業快速應對新威脅的能力。此外,還存在的潛在風險是,過于關注長期安全規劃而忽視眼前的安全威脅,可能會使企業容易受到新興風險的影響。
5、自由式管理
自由式管理風格是指將重要的安全管理決策權下放給團隊成員,并充分給予團隊成員行動的自主權。在一些頭部的科技公司中,CISO們會充分信任安全團隊的專業能力,并允許部門骨干成員做出有關安全控制、事件響應和風險管理的決策。CISO會在它們需要幫助時提供指導和支持,但會避免過多的參與到事務性工作中,允許安全團隊獨立運作,并根據成員的專業知識做出決策。
采用自由式管理風格,有利于增強團隊成員的專業能力。在團隊內部,CISO會培養自我指導和創新的安全管理文化,信任團隊成員的能力,并鼓勵他們對自己的項目負責。CISO會設定廣泛的目標并提供最低限度的監督,允許團隊確定實現這些目標的最佳策略。
不過,采用自由式管理風格時,需要關注可能存在的協調不充分和缺乏集中控制的風險,這可能導致組織內不一致的安全實踐和不一致的管理要求。此外,在缺乏足夠的監督和指導的情況下,忽視關鍵安全問題的可能性也會增加,安全團隊可能難以在沒有明確方向的情況下有效應對較復雜的安全威脅挑戰。
6、目標式管理
目標式管理風格側重于鼓舞和激勵安全團隊成員實現組織長期的安全建設目標。CISO為企業的數字化轉型設定令人信服的安全發展愿景,并通過創新推動變革,鼓勵相關的員工共同承擔風險,積極采用創新技術并不斷優化、改進。采用目標式管理的CISO需要注重根據預先設定的工作目標或具體指標參數,來衡量員工的工作績效,并以此進行獎懲。
對于一些正在進行數字化轉型的零售企業和醫療保健企業,其CISO往往會采用轉型式管理風格,以推動創新、增強客戶體驗并適應不斷變化的市場趨勢。采用目標式管理風格時,CISO應該在安全團隊中培養持續改進和專業成長的文化,提供指導并促進協作,鼓勵團隊成員承擔具有挑戰性的安全項目。這種風格側重于激發和鼓勵安全團隊實現卓越的成果。通過專注于明確定義的目標、績效指標和獎勵,可確保安全團隊在遵守安全制度和流程的同時,充分激發團隊的發展潛力。
不過值得注意的是,采用目標式管理風格時,CISO需要警惕過度依賴獎勵和懲罰制度來實現預期目標,因為這可能會形成一種優先考慮滿足績效考核目標而非全面安全實踐的文化,從而可能會損害企業的整體網絡安全態勢。
結語
盡管以上描述的每一種CISO管理風格都有著各自獨特的優點,但也有其潛在的不足和缺點。因此,CISO在實際工作中,所采用的管理風格可以是多種類型的組合,并根據其有效性不斷調整自身的管理風格,從而適應具體管理的要求和團隊成員特點。
在充滿波動性、不確定性、復雜性和模糊性(VUCA)的世界中,成功的CISO需要具有敏捷性、適應性、協作性和有效溝通等能力特點,根據工作需要充分融合權威式、戰略式、合作式、服務式、自由式和目標式管理的不同要素,從而更有效地管理安全團隊并推動企業的數字化發展安全。
來源:安全牛